特洛伊木馬代理惡意軟體可能針對多個作業系統

未經授權的網站分發破解軟體的篡改版本已被確定為 Apple macOS 用戶感染新型特洛伊木馬代理惡意軟體的來源。

研究人員解釋說，犯罪者可以利用這種形式的惡意軟體透過建立代理伺服器網路或代表受害者執行非法活動來產生收入，例如對網站、企業和個人發動攻擊，以及購買槍支、毒品和毒品等。其他非法物品。

研究人員發現的證據顯示該惡意軟體構成了跨平台威脅。這項推論是從與 Windows 和 Android 相關的工件的發現中得出的，這些工件搭載了盜版工具。

代理特洛伊木馬將自己偽裝成盜版應用程式

macOS 迭代偽裝成真正的多媒體、影像編輯、資料復原和生產力工具。這意味著尋求盜版軟體的個人是該活動的主要目標。與以磁碟映像 (.DMG) 檔案形式分發的合法版本不同，假冒版本以 .PKG 安裝程式形式傳播，具有安裝後腳本，可在安裝後觸發惡意行為。

活動的最終目標是部署特洛伊木馬代理，該木馬代理將自己偽裝成 macOS 上的 WindowServer 進程以逃避檢測。 WindowServer 是一個基本的系統流程，負責管理視窗和呈現應用程式的圖形使用者介面（GUI）。

啟動後，惡意軟體會嘗試使用 HTTPS 協定加密 DNS 請求和回應，透過 DNS-over-HTTPS (DoH) 取得命令與控制 (C2) 伺服器的 IP 位址。

隨後，Trojan-Proxy 與 C2 伺服器建立通訊並等待進一步指令，包括處理傳入訊息以解釋要連接的 IP 位址、要使用的協定以及要傳輸的訊息。這表明它能夠透過 TCP 或 UDP 作為代理，透過受感染的主機重新路由流量。

研究人員報告稱，早在 2023 年 4 月 28 日就發現了線上上傳的惡意軟體實例。為了應對此類威脅，建議用戶不要從不受信任的來源下載軟體。